Inhaltsverzeichnis. Grußwort. 13. Vorwort. 15. Übersicht. 17. Über die Autoren. 21
. Einleitung. 25. Gefahren sehen und bemessen. 41. 1.1 Gefahren erkannt ...
Prof. Dr. Norbert Pohlmann Hartmut F. Blumberg
Der IT-Sicherheitsleitfaden
Inhaltsverzeichnis
Grußwort
13
Vorwort
15
Übersicht
17
Über die Autoren
21
Einleitung
25
Gefahren sehen und bemessen 1.1 Gefahren erkannt, Gefahr gebannt 1.2 Allgemeine Risiken und Bedrohungen 1.3 Bedrohungen eines IT-Systems 1.3.1 Passive Angriffe 1.3.2 Aktive Angriffe 1.3.3 Unbeabsichtigte Verfälschung
41 41 42 44 45 48 52
1.3.4 Spezifische Bedrohungen der Endsysteme 1.4 Die Angreifer 1.5 Juristische Rahmenbedingungen 1.5.1 Das Grundgesetz 1.5.2 Das Volkszählungsurteil 1.5.3 Landesverfassungen 1.5.4 Bundesdatenschutzgesetz (BDSG) 1.5.5 Signaturgesetz und Signaturverordnung 1.5.6 Weitere Gesetze und Verordnungen 1.6 Gefahren am Beispiel einer Verwaltungsbehörde 1.6.1 Sicherheitsmanagement 1.6.2 Kontinuitätsplanung 1.6.3 Datensicherungskonzept 1.6.4 Computervirenschutz-Konzept 1.6.5 Gebäudesicherheit 1.6.6 Räume für Server und technische Infrastruktur 1.6.7 Datenträgerarchiv 1.6.8 PC-Systeme
1.6.9 Laptops, Notebooks und PDAs 1.6.10 Server 1.6.11 Heterogenes Netzwerk 1.6.12 E-Mail-Kommunikation 1.6.13 Internetzugriff 1.6.14 IT-Dienste und Anwendungen 1.7 Zusammenfassung
72 73 73 74 75 76 76
Ziele festlegen und gewichten 2.1 IT-Sicherheit als Teil der wesentlichen Unternehmensziele 2.2 Das Spannungsfeld der IT-Sicherheitslösungen 2.2.1 Ergonomie 2.2.2 Effektivität 2.2.3 Ökonomie 2.2.4 Klassifizierung der IT-Sicherheitsziele 2.3 Klare Ziele: erreichbar und messbar 2.4 Die IT-Sicherheitsleitlinie 2.4.1 Die Inhalte einer IT-Sicherheitsleitlinie 2.4.2 Erstellen einer IT-Sicherheitsleitlinie 2.4.3 Die Organisation des IT-Risikomanagements 2.4.4 Strategien zur Risikoanalyse und Risikobewertung 2.4.5 Klassifizierung von Daten und Diensten 2.4.6 Organisationsweite Richtlinien zu Sicherheitsmaßnahmen 2.4.7 Kontinuitätsplanung 2.4.8 Gewährleistung der Sicherheitsniveaus 2.4.9 Der Lebenszyklus der IT-Sicherheitsleitlinie 2.5 Beispiel einer IT-Sicherheitsleitlinie 2.5.1 Einleitung 2.5.2 Struktur der IT-Sicherheitsleitlinien des Unternehmens .. 2.5.3 Ziele 2.5.4 Gegenstand und Geltungsbereich der Leitlinie 2.5.5 Begriffsbestimmung 2.5.6 Verpflichtungserklärung der Unternehmensführung 2.5.7 Outsourcing der IT 2.5.8 Das IT-Sicherheitsmanagement 2.5.9 Verantwortlichkeiten
Allgemeine Anforderungen und Regeln Sicherheitsrelevante Objekte Orgaspezifische Sicherheitsleitlinien Fortschreibung dieses Dokuments
I Risiken erkennen und bewerten 3.1 Wirksames Risikomanagement braucht einen Startpunkt 2 Normen und Standards der IT-Sicherheit 3 Tools der IT-Sicherheit 4 Die generelle Schutzbedarfsermittlung 3.4.1 Erfassung aller vorhandenen und projektierten IT-Systeme 3.4.2 Aufnahme der IT-Dienste 3.4.3 Zuordnung der IT-Dienste zu den einzelnen IT-Systemen 3.4.4 Klassifizierung des Schutzbedarfs für jedes IT-System . . . . 3.5 Die Grundschutz-Analysemethodik 3.5.1 Abbildung des IT-Systems durch vorhandene Bausteine . . . 3.5.2 Erfassen des jeweiligen Bausteins 3.5.3 Analyse der Maßnahmenbeschreibungen 3.5.4 Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen 3.6 Die detaillierte Risikoanalyse 3.6.1 Systemgrenzen definieren 3.6.2 »Teile und Herrsche«: Modularisierung 3.6.3 Analyse der Module 3.6.4 Bewertung der Bedrohungssituation 3.6.5 Schwachstellenanalyse 3.6.6 Identifikation bestehender Schutzmaßnahmen 3.6.7 Risikobewertung 3.6.8 Auswertung und Aufbereitung der Ergebnisse 3.7 Die Wirksamkeit der Schutzmaßnahmen 3.8 Audit bislang umgesetzter Schutzmaßnahmen 3.8.1 Der Idealfall 3.8.2 Der pragmatische Ansatz 3.9 Beispiele für Bewertungsmethodiken 3.9.1 Schutzbedarfsfeststellung 3.9.2 Detaillierte Risikoanalyse
3.10 Verantwortung für die IT-Sicherheit 3.11 Wer unterstützt Sie bei der Sicherheitsanalyse am besten? 3.12 Angemessener Aufwand für die Erstellung einer IT-Sicherheitsstudie 3.13 Resultate einer IT-Sicherheitsstudie 3.14 Feststellung des Schutzbedarfs 4
Schutzmaßnahmen priorisieren und umsetzen 4.1 Rahmenbedingungen 4.2 Organisatorische Schutzmaßnahmen 4.2.1 Entwicklung einer IT-Sicherheitsleitlinie 4.2.2 Realisierungsplanung 4.2.3 Migrationspläne 4.2.4 Fortschreibung des IT-Sicherheitskonzepts 4.3 Administrative Schutzmaßnahmen 4.3.1 Implementierung von Schutzmaßnahmen 4.3.2 Dokumentation 4.3.3 Sensibilisierung 4.3.4 Schulung 4.3.5 Audit von Sicherheitssystemen 4.3.6 Infrastrukrur 4.3.7 Personal 4.3.8 Notfallbehandlung 4.3.9 Zusammenfassung 4.4 Technische Schutzmaßnahmen 4.4.1 Technologische Grundlagen für Schutzmaßnahmen und Sicherheitsmechanismen 4.4.2 Public-Key-Infrastrukturen 4.4.3 E-Mail-Security 4.4.4 Anti-SPAM-Technologie 4.4.5 Die virtuelle Poststelle: Sicheres E-Mail-Gateway 4.4.6 Verschlüsselungssysteme gespeicherter Informationen 4.4.7 Virtual Private Networks 4.4.8 Secure Socket Layer (SSL), Transport Layer Security (TLS) 4.4.9 Authentisierungsverfahren 4.4.10 Firewallsysteme
Personal Firewall PC-Systeme durch benutzer- und anwendungsspezifische Rechte sichern 4.4.13 Intrusion Detection 4.4.14 Anti-Malware-Systeme 4.4.15 Biometrische Verfahren 4.4.16 WLAN-Sicherheit 4.4.17 Bluetooth-Sicherheit 4.4.18 Phishing 4.4.19 Identity Management 4.4.20 IP-Blacklisting 4.4.21 Internet-Frühwarnsysteme 4.4.22 Internet-Verfügbarkeitssysteme 4.4.23 Internet-Analysesysteme 4.4.24 Sicheres Chatten 4.4.25 Sichere Betriebssysteme 4.4.26 Die Sicherheitsplattform 4.4.27 Sicherheit durch Minimalisierung und Isolation 4.5 Fallbeispiele 4.5.1 Das Ende des PIN-Codes 4.5.2 Sicherheit für die Geschäftsprozesse in einer Bank 4.5.3 Firewallsysteme - sicherer Internetzugriff bei großen Organisationen 4.5.4 Authentisierungsverfahren mittels Mobiltelefon 4.5.5 PKI im Finanzsektor 4.5.6 Verschlüsselung von Notebooks 4.5.7 Datei- und Verzeichnisverschlüsselung 4.5.8 Sichere Ankopplung von Außendienstmitarbeitern 4.5.9 Vertrauenswürdige Vernetzung r 4.6 Zusammenfassung |x^Sicherheit fortschreiben - die Wirksamkeit gewährleisten 5.1 Nur eine kontinuierliche Sicherheit ist nachhaltig wirksam H5-2 Der Faktor Mensch 5.2.1 Vertretungsregelungen 5.2.2 Nachhaltige Gewährleistung eines positiven Betriebsklimas 5.2.3 Prüfung der Einhaltung der organisatorischen Vorgaben
Geregelte Verfahrensweise bei vermuteten Sicherheitsverletzungen 5.2.5 Externe Mitarbeiter 5.2.6 S chulung und S ensibilisierung zu IT-Schutzmaßnahmen 5.2.7 Sicherheitssensibilisierung und Schulung für neue Mitarbeiter und neue IT-Systeme 5.2.8 5.2.9
5.3 5.4 5.5 5.6
Betreuung und Beratung der IT-Nutzer Aktionen beim Auftreten von Sicherheitsproblemen (Incident-Handling-Pläne) 5.2.10 Schulung des Wartungs- und Administrationspersonals . . 5.2.11 Einweisung in die Regelungen der Handhabung von Kommunikationsmedien Qualitätssicherung der Sicherheit Kriterien zur Fortschreibung der Sicherheitsziele Reaktion auf Sicherheitsvorfälle Kontinuierliche Administration und Schwachstellenanalyse 5.6.1 Die Sicherheitsadministration 5.6.2 Die kontinuierliche Schwachstellenanalyse
5.6.3 Das Computer Emergency Response Team 5.7 Audits und Reviews 5.8 Minimal-Checkliste 5.8.1 IT-Sicherheitsmanagement 5.8.2 Sicherheit von IT-Systemen 5.8.3 Vernetzung und Internet-Anbindung 5.8.4 Beachtung von Sicherheitserfordernissen 5.8.5 Wartung von IT-Systemen: Umgang mit Updates 5.8.6 Passwörter und Verschlüsselung 5.8.7 Kontinuitätsplanung 5.8.8 Datensicherung 5.8.9 Infrastruktursicherheit 5.8.10 Mobile Sicherheit 6 Sicherheit und Vertrauenswürdigkeit in der Informationsgesellschaft .. 6.1 Einleitung 6.2 Sicherheit 6.2.1 Kryptographie: Ein Wettlauf um die Sicherheit 6.2.2 Firewallsysteme
6.2.3 Biometrie-Verfahren 6.2.4 Betriebssysteme 6.2.5 Fazit 6.3 Vertrauenswürdigkeit 6.3.1 Sichere Betriebssysteme 6.3.2 Administrative Schutzmaßnahmen 6.3.3 Organisatorische Schutzmaßnahmen 6.3.4 Rechtliche Rahmenbedingungen 6.3.5 Internationale Kooperationen 6.3.6 IT-Sicherheit kostet Geld 6.3.7 Total Risk Management 6.3.8 Sicherheitsaudits 6.3.9 Fazit und Ausblick 6.4 Philosophische Aspekte der Informationssicherheit 6.4.1 Die Grenzen der technischen Risikoanalyse 6.4.2 Der Beitrag philosophischer Disziplinen zur Wertediskussion 6.4.3 Die »postmoderne« Informationsgesellschaft 6.4.4 Das Internet - ein »böses« Medium? 6.4.5 Der Wert der Privatsphäre 6.4.6 Schlussfolgerung 7 Wirtschaftlichkeitsbetrachtung von IT-Schutzmaßnahmen 7.1 Einführung 7.2 IT-Sicherheitsrisiken und -investment 7.3 Total Cost of Ownership - Kostenaspekte 7.3.1 Beschaffungsphase 7.3.2 Aufrechterhaltung des Betriebs 7.3.3 Zusammenfassung: Total Cost of Ownership 7.4 Kosten-Nutzen-Betrachtung im Hinblick auf das zu tragende Risiko 7.4.1 Diskussion der Kosten-Nutzen-Betrachtung 7.4.2 Wahrscheinlichkeit eines bestimmten Profits 7.5 Return on Security Investment (RoSI) - Nutzenaspekt 7.5.1 Beispiel: Notebookverluste 7.5.2 Return on Security Investment (RoSI) - Berechnung 7.6 Kosten-Nutzen-Betrachtung - Internet als
